通信キャリア3社のセキュリティスコア比較
日本の通信インフラを支えるキャリア大手3社のWebセキュリティ設定を比較しました。
| キャリア | ドメイン | スコア | ランク |
|---|---|---|---|
| au(KDDI) | au.com | 70点 | B |
| NTTドコモ | docomo.ne.jp | 50点 | D |
| ソフトバンク | softbank.jp | 40点 | D |
項目別の比較
| 項目 | au | ドコモ | ソフトバンク |
|---|---|---|---|
| HTTPS | ✅ | ✅ | ✅ |
| HSTS | ✅ | ❌ | ❌ |
| CSP | ❌ | ❌ | ❌ |
| X-Content-Type-Options | ✅ | ✅ | ✅ |
| X-Frame-Options | ✅ | ✅ | ✅ |
| Referrer-Policy | ✅ | ❌ | ❌ |
| Permissions-Policy | ❌ | ❌ | ❌ |
| SPF | ✅ | ✅ | ✅ |
| DKIM | ✅ | ✅ | ❌ |
| DMARC | ❌ | ❌ | ❌ |
業界全体の傾向
通信キャリア3社の平均スコアは約53点と、通信インフラを担う企業としてはやや心もとない結果です。
- auがリード:HSTS、Referrer-Policy、DKIMなどauが一歩先を行く設定状況
- CSPは全社未設定:XSS対策の要であるCSPが3社とも未導入。大手ポータルサイトとしてのコンテンツの複雑さが導入の障壁になっている可能性
- DMARCは全社未設定:通信キャリアを騙るフィッシングSMS/メールが社会問題化している中、DMARC未設定は深刻な課題
- HSTSの導入遅れ:auのみ設定済み。ドコモ・ソフトバンクはHTTPからの接続を自動的にHTTPSに強制する仕組みがない
- ソフトバンクはDKIMも未設定:メール認証の基本であるDKIMが未設定で、なりすましメール対策に大きな課題
改善ポイント
- 全社共通(最優先):DMARCの導入。キャリアを騙るフィッシングは被害額が大きく、利用者保護の観点から緊急性が高い
- ドコモ・ソフトバンク:HSTSの設定。通信会社のサイトがHTTPで中間者攻撃のリスクにさらされるのは避けるべき
- ソフトバンク:DKIMの導入でメール認証の基盤を整備
- 全社共通:CSPの段階的導入とPermissions-Policyの設定
通信キャリアは数千万人の個人情報を保有し、決済サービスも展開しています。フィッシング攻撃の主要ターゲットであることを考えると、Webセキュリティ設定の強化は喫緊の課題と言えるでしょう。
各社の詳細分析
他の業界のセキュリティ比較
- SaaS大手5社のセキュリティ比較ランキング:freee・SmartHR・マネーフォワードなど
- トヨタ・ホンダ・日産のセキュリティ比較
- EC大手5社のセキュリティ比較
- HTTPSとは?仕組みと設定方法を図解で解説
免責事項:本記事は、HTTPレスポンスヘッダーおよびDNS情報の公開情報に基づく分析であり、実際のセキュリティ設定を保証するものではありません。スコアは独自の採点基準によるものです。情報は調査時点のものであり、最新の状況とは異なる場合があります。